Quando Red Hat ha scoperto l’esistenza di un bug in Bash, gli esperti di sicurezza hanno subito affermato che le conseguenze potrebbero essere più gravi di quelle provocate da Heartbleed. Dato che la shell è usata da milioni di dispositivi connessi alla Rete, un eventuale attacco potrebbe causare un blackout totale dell’intera Internet.
Il bug Shellshock, presente in Bash da almeno 25 anni, apre le porte a varie tipologie di attacchi, in quanto consente l’esecuzione di codice remoto sfruttando la capacità della shell di interpretare comandi che includono funzioni. Un malintenzionato potrebbe caricare sul sistema target un malware, con il quale rubare informazioni personali, cancellare file e bloccare un server web. Secondo gli esperti, le applicazioni PHP sono particolarmente vulnerabili. I dispositivi connessi, come router, webcam e le cosiddette smart appliance, riceveranno (forse) un aggiornamento con molto ritardo.
Robert David Graham di Errata Security ha scoperto circa 3.000 sistemi vulnerabili e, sicuramente, molti di essi sono già stati infettati. Richard Stiennon di Security Current ipotizza che il codice infetto potrebbe provocare un danno simile a quello causato dal worm SQL Slammer nel 2003. Alcuni fornitori di servizi hanno individuato diversi malware che sfruttano ShellShock. CloudFlare e Akamai hanno già ricevuto una “visita” da parte di cracker.
Molte distribuzioni Linux sono state aggiornate, ma si tratta solo di patch provvisorie. Secunia Security ha dichiarato che la nuova versione di Bash, distribuita da GNU, è inefficace. Apple ha ammesso che la shell UNIX presente in OS X è vulnerabile, tuttavia la configurazione base garantisce la massima sicurezza. Il rischio nasce se gli utenti attivano i servizi UNIX avanzati. L’azienda è al lavoro su una patch risolutiva.